Gli hacker cinesi usano sempre più il ransomware nelle operazioni di cyberespionaggio, dicono i ricercatori.
L’impiego del ransomware da parte di gruppi di hacker cinesi è in crescita e sta diventando una tattica comune nelle operazioni di cyberespionaggio. Questa è la conclusione a cui è giunto un recente studio condotto da SentinelLabs e Recorded Future. Secondo i ricercatori, tali attacchi servono non solo a generare profitti, ma anche a distrarre gli avversari e complicare il processo di attribuzione delle operazioni a entità statali.
Tradizionalmente, i gruppi di cyberespionaggio legati agli stati sono stati riluttanti a utilizzare il ransomware, ma questa tendenza sembra essere cambiata. Gli hacker sponsorizzati da stati stanno ora sfruttando l’epidemia di ransomware per mascherare le loro operazioni. Gli attacchi recenti, come quelli contro la presidenza brasiliana e l’Istituto di Scienze Mediche dell’India (AIIMS), sono stati attribuiti a un gruppo di cyberespionaggio sospettato di essere collegato alla Cina, noto come ChamelGang o CamoFei.
L’uso del ransomware come strumento di cyberespionaggio consente ai paesi avversari di mantenere una negazione plausibile, attribuendo le loro azioni a cybercriminali indipendenti piuttosto che a entità sponsorizzate dallo stato. Questo tipo di disinformazione può creare ripercussioni strategiche, specialmente quando gli attacchi ransomware sono rivolti a infrastrutture critiche o enti governativi.
Le infezioni da ransomware generalmente bloccano file e dati, che vengono poi sbloccati solo previo pagamento di un riscatto. In alcuni casi, gli attaccanti non decifrano mai i dati, trasformando un attacco ransomware in un’operazione distruttiva. Dopo un attacco di questo tipo, la priorità principale diventa ristabilire il funzionamento dei sistemi e ripristinare i dati cifrati, il che avvantaggia i gruppi di cyberespionaggio, che possono così nascondere le tracce delle loro intrusioni.
Un esempio significativo è l’attacco del novembre 2022 all’AIIMS, definito “terrorismo cibernetico” dalla polizia di Delhi. I media indiani hanno riportato dichiarazioni di funzionari anonimi, secondo cui l’attacco sarebbe stato eseguito da hacker cinesi come possibile attacco ostile transfrontaliero.
Le ambasciate indiane e brasiliane a Washington, D.C., non hanno risposto a richieste di commento riguardo al rapporto. Da parte sua, il portavoce dell’Ambasciata cinese a Washington ha affermato che la Cina si oppone fermamente a ogni forma di attacco e furto cibernetico, enfatizzando la complessità tecnica dell’attribuire con certezza la paternità di tali attacchi.
Questo incremento nell’uso del ransomware da parte di hacker cinesi giunge mentre funzionari statunitensi continuano a lanciare allarmi su ciò che descrivono come una preposizione aggressiva di capacità cyber cinesi nelle reti civili statunitensi. Tale attività, tracciata pubblicamente come Volt Typhoon, è progettata per influenzare le decisioni degli Stati Uniti in caso di conflitto.
L’uso del ransomware da parte di operazioni cyber cinesi non è una novità assoluta. Mandiant ha precedentemente descritto attività dello stesso tipo sotto il nome APT41, che includevano sia operazioni di spionaggio sponsorizzate dallo stato sia attività finanziariamente motivate potenzialmente al di fuori del controllo statale. Altre documentazioni di Secureworks e Microsoft hanno dettagliato l’uso di ransomware da parte di attori cinesi per rubare proprietà intellettuale.
L’intelligence militare russa ha anch’essa utilizzato malware distruttivo e ransomware durante l’invasione dell’Ucraina, un’analisi di Mandiant del luglio 2023 ha evidenziato come il ransomware venga usato per distogliere l’attenzione e amplificare gli aspetti psicologici di un’operazione, consentendo al GRU di rifornirsi più rapidamente di nuovi strumenti distruttivi non rilevati.
Ben Carr, advisory chief information security officer di Halcyon, ha sottolineato che l’uso del ransomware offre anche una sorta di copertura per operazioni statali, fungendo da test per capire l’impatto di potenziali attacchi più devastanti.
Un’ulteriore analisi del rapporto ha rivelato attività di cyberespionaggio che coinvolgono strumenti standard, rivolti ad aziende manifatturiere statunitensi e vari settori in Nord e Sud America e in Europa. Sebbene non sia chiaro a chi attribuire questo secondo cluster di attività, vi sono sovrapposizioni con attività passate legate a Cina e Corea del Nord.